OceanLotus- macOS အတွက် malware အပ်ဒိတ်

2019 ခုနှစ် မတ်လတွင်၊ OceanLotus ဆိုက်ဘာအဖွဲ့မှ macOS malware နမူနာအသစ်ကို VirusTotal၊ နာမည်ကြီး အွန်လိုင်းစကင်ဖတ်စစ်ဆေးခြင်းဝန်ဆောင်မှုသို့ အပ်လုဒ်လုပ်ခဲ့သည်။ Backdoor executable file တွင် ကျွန်ုပ်တို့လေ့လာခဲ့သည့် macOS malware ၏ယခင်ဗားရှင်းနှင့် တူညီသော်လည်း ၎င်း၏ဖွဲ့စည်းပုံမှာ ပြောင်းလဲသွားကာ ရှာဖွေတွေ့ရှိရန် ပိုမိုခက်ခဲလာသည်။ ကံမကောင်းစွာဖြင့်၊ ဤနမူနာနှင့်ဆက်စပ်နေသော dropper ကိုကျွန်ုပ်တို့ရှာမတွေ့ခဲ့သဖြင့် ရောဂါပိုးကူးစက်ခြင်း vector ကိုမသိရသေးပါ။

ကျွန်ုပ်တို့ မကြာသေးမီက ထုတ်ပြန်ခဲ့သည်။ OceanLotus အကြောင်း ပို့စ် အော်ပရေတာများသည် စွဲမြဲစွာလုပ်ဆောင်ရန်၊ ကုဒ်လုပ်ဆောင်မှုကို အရှိန်မြှင့်ရန်နှင့် Windows စနစ်များတွင် ခြေရာကို လျှော့ချရန် မည်သို့ကြိုးစားနေပုံ။ ဤဆိုက်ဘာအဖွဲ့တွင် macOS အတွက် အစိတ်အပိုင်းတစ်ခုလည်း ပါ၀င်ကြောင်းလည်း သိရှိရပါသည်။ ဤပို့စ်သည် ယခင်ဗားရှင်းနှင့် နှိုင်းယှဉ်ရာတွင် macOS အတွက် နောက်ဆုံးထွက် malware ဗားရှင်းတွင် အပြောင်းအလဲများကို အသေးစိတ်ဖော်ပြထားသည် (Trend Micro မှဖော်ပြသည်။) နှင့် IDA Hex-Rays API ကို အသုံးပြု၍ ခွဲခြမ်းစိတ်ဖြာနေစဉ်အတွင်း စာကြောင်းများ၏ စကားဝှက်ကို သင်အလိုအလျောက် မည်သို့လုပ်ဆောင်နိုင်သည်ကိုလည်း ဖော်ပြသည်။

၏ခွဲခြမ်းစိတ်ဖြာ

နောက်သုံးပိုင်းသည် SHA-1 hash ဖြင့် နမူနာတစ်ခု၏ ခွဲခြမ်းစိတ်ဖြာမှုကို ဖော်ပြသည်။ E615632C9998E4D3E5ACD8851864ED09B02C77D2. ဖိုင်ဟုခေါ်သည်။ ဓာတ်မီး၊ ESET ဗိုင်းရပ်စ်နှိမ်နင်းရေး ထုတ်ကုန်များသည် ၎င်းကို OSX/OceanLotus.D အဖြစ် ရှာဖွေတွေ့ရှိသည်။

Anti-debugging နှင့် sandbox ကာကွယ်မှု

macOS OceanLotus binaries အားလုံးကဲ့သို့ပင်၊ နမူနာအား UPX ဖြင့်ထုပ်ပိုးထားသော်လည်း packager identification tools အများစုသည် ၎င်းကို အသိအမှတ်မပြုပါ။ ၎င်းတို့တွင် “UPX” စာကြောင်း၏ ပါဝင်မှုအပေါ် မူတည်ပြီး လက်မှတ်အများစု ပါဝင်ခြင်းကြောင့် ဖြစ်ကောင်းဖြစ်နိုင်သည်၊ ထို့အပြင် Mach-O လက်မှတ်များသည် သာမန်ထက်နည်းပြီး မကြာခဏ မွမ်းမံမွမ်းမံထားသောကြောင့်ဖြစ်သည်။ ဤအင်္ဂါရပ်သည် static detection ကိုခက်ခဲစေသည်။ စိတ်ဝင်စားစရာကောင်းတာက ထုပ်ပိုးပြီးတဲ့အခါ၊ ဝင်ခွင့်အမှတ်က အပိုင်းရဲ့အစမှာပါ။ __cfstring အပိုင်း၌ .TEXT. ဤကဏ္ဍတွင် အောက်ဖော်ပြပါပုံတွင် ပြထားသည့်အတိုင်း အလံ attribute များရှိသည်။

ပုံ 1. MACH-O __cfstring ကဏ္ဍ ရည်ညွှန်းချက်များ

ပုံ 2 တွင်ပြထားသည့်အတိုင်း၊ အပိုင်းရှိကုဒ်တည်နေရာများ __cfstring ကုဒ်ကို စာကြောင်းများအဖြစ်ပြသခြင်းဖြင့် အချို့သော disassembly tools များကို လှည့်စားနိုင်မည်ဖြစ်သည်။

ပုံ 2။ ဒေတာအဖြစ် IDA မှရှာဖွေတွေ့ရှိထားသော နောက်ခံကုဒ်

လုပ်ဆောင်ပြီးသည်နှင့်၊ binary သည် တစ်ခုတည်းသောရည်ရွယ်ချက်မှာ အမှားရှာဘွယ်ဂါတစ်ခုရှိမရှိကို အဆက်မပြတ်စစ်ဆေးရန် ရည်ရွယ်ထားသည့် anti-debugger တစ်ခုအနေဖြင့် thread တစ်ခုကို ဖန်တီးသည်။ ဤစီးဆင်းမှုအတွက်-

- ခေါ်ဆိုနေသည့် မည်သည့်အမှားရှာကိုမဆို ဖြုတ်ရန် ကြိုးစားသည်။ ptrace с PT_DENY_ATTACH တောင်းဆိုမှုအတိုင်းအတာတစ်ခုအနေဖြင့်
- လုပ်ဆောင်ချက်တစ်ခုကိုခေါ်ဆိုခြင်းဖြင့် အချို့သောသီးသန့် port များကိုဖွင့်ထားခြင်းရှိမရှိစစ်ဆေးပါ။ task_get_exception_ports
- အလံ၏ရှေ့မှောက်တွင်စစ်ဆေးခြင်းဖြင့်အောက်ပါပုံတွင်ပြထားသည့်အတိုင်းဒီဘာဂဂါချိတ်ဆက်မှုရှိမရှိစစ်ဆေးပါ။ P_TRACED လက်ရှိလုပ်ငန်းစဉ်တွင်

ပုံ 3. sysctl လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ဒီဘာဂါချိတ်ဆက်မှုကို စစ်ဆေးခြင်း။

အကဲဖြတ်သူသည် အမှားရှာပြင်ခြင်းရှိနေကြောင်း တွေ့ရှိပါက၊ လုပ်ဆောင်ချက်ကို ခေါ်သည်။ exit. ထို့အပြင်၊ နမူနာသည် command နှစ်ခုကိုလည်ပတ်ခြင်းဖြင့် ပတ်ဝန်းကျင်ကို စစ်ဆေးသည်-

ioreg -l | grep -e "Manufacturer" и sysctl hw.model

ထို့နောက် နမူနာသည် သိထားသော virtualization စနစ်များမှ hard-coded စာကြောင်းများစာရင်းနှင့် အပြန်တန်ဖိုးကို စစ်ဆေးသည်- ကယ်လ်, VMware, VirtualBox သို့မဟုတ် မျဉ်းပြိုင်. နောက်ဆုံးတွင်၊ စက်သည် အောက်ဖော်ပြပါ “MBP”၊ “MBA”၊ “MB”၊ “MM”၊ “IM”၊ “MP” နှင့် “XS” တို့ထဲမှ တစ်ခုဟုတ်မဟုတ် စစ်ဆေးပါသည်။ ၎င်းတို့သည် စနစ်မော်ဒယ်ကုဒ်များ၊ ဥပမာ၊ “MBP” ဆိုသည်မှာ MacBook Pro၊ “MBA” ဆိုသည်မှာ MacBook Air စသည်တို့ဖြစ်သည်။

system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}

ပင်မထပ်လောင်း

Trend Micro ၏ သုတေသနပြုကတည်းက backdoor command များသည် ပြောင်းလဲခြင်းမရှိသော်လည်း၊ အခြားသော ပြုပြင်မွမ်းမံမှုအချို့ကို ကျွန်ုပ်တို့သတိပြုမိခဲ့သည်။ ဤနမူနာတွင် အသုံးပြုထားသော C&C ဆာဗာများသည် အတော်လေး အသစ်ဖြစ်ပြီး 22.10.2018/XNUMX/XNUMX တွင် ဖန်တီးခဲ့သည်။

- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com

အရင်းအမြစ် URL ကို ပြောင်းထားသည်။ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
C&C ဆာဗာသို့ ပေးပို့သည့် ပထမဆုံး packet တွင် အောက်ပါဇယားရှိ commands များမှ စုဆောင်းထားသော ဒေတာများ အပါအဝင် host machine နှင့်ပတ်သက်သော အချက်အလက်များစွာ ပါဝင်သည်။

ဤဖွဲ့စည်းပုံပြောင်းလဲခြင်းအပြင်၊ နမူနာသည် ကွန်ရက်စစ်ထုတ်ခြင်းအတွက် စာကြည့်တိုက်ကို အသုံးမပြုပါ။ libcurlဒါပေမယ့် ပြင်ပစာကြည့်တိုက်။ ၎င်းကိုရှာဖွေရန်၊ Backdoor သည် AES-256-CBC ကို သော့ဖြင့် အသုံးပြု၍ လက်ရှိလမ်းညွှန်ရှိ ဖိုင်တိုင်းကို ကုဒ်ဝှက်ရန် ကြိုးစားသည် gFjMXBgyXWULmVVVzyxyသုညနှင့်အတူ padded ။ ဖိုင်တစ်ခုစီကို စာဝှက်အဖြစ် သိမ်းဆည်းထားသည်။ /tmp/store၎င်းကို စာကြည့်တိုက်အဖြစ် တင်ရန် ကြိုးပမ်းမှုကို လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ပြုလုပ်ထားသည်။ dlopen. ကုဒ်ဝှက်ရန် ကြိုးစားသောအခါ အောင်မြင်သောခေါ်ဆိုမှုတစ်ခု ထွက်ပေါ်လာသည်။ dlopen၊ backdoor သည် တင်ပို့သည့် လုပ်ဆောင်ချက်များကို ထုတ်ယူသည်။ Boriry и ChadylonVဆာဗာနှင့် ကွန်ရက်ဆက်သွယ်မှုအတွက် တာဝန်ရှိသည်မှာ ထင်ရှားသည်။ ကျွန်ုပ်တို့တွင် နမူနာ၏မူရင်းတည်နေရာမှ dropper သို့မဟုတ် အခြားဖိုင်များမရှိသောကြောင့် ဤစာကြည့်တိုက်ကို ခွဲခြမ်းစိတ်ဖြာ၍မရပါ။ ထို့အပြင်၊ အစိတ်အပိုင်းကို ကုဒ်ဝှက်ထားသောကြောင့်၊ ဤစာကြောင်းများကို အခြေခံသည့် YARA စည်းမျဉ်းသည် ဒစ်ခ်တွင်တွေ့ရသောဖိုင်နှင့် ကိုက်ညီမည်မဟုတ်ပါ။

အထက်​ပါ​ဆောင်းပါး​မှာ​ဖော်​ပြထား​တဲ့​အတိုင်း ဖန်တီး​ပေး​တယ်။ clientID. ဤ ID သည် အောက်ပါ command များထဲမှ တစ်ခု၏ return value ၏ MD5 hash ဖြစ်သည်။

- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (MAC လိပ်စာကို ရယူပါ)
- အမည်မသိအဖွဲ့ ("x1ex72x0a") ယခင်နမူနာများတွင် အသုံးပြုသည်။

hashing မလုပ်မီ၊ root အခွင့်ထူးများကိုညွှန်ပြရန် "0" သို့မဟုတ် "1" ကို return value သို့ ပေါင်းထည့်ပါသည်။ ဒီ clientID တွင်သိမ်းဆည်းထားသည်။ /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appexအကယ်၍ ကုဒ်ကို root အဖြစ် သို့မဟုတ် ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML တွင် သို့မဟုတ် အခြားကိစ္စများအားလုံးတွင် လုပ်ဆောင်ပါက၊ လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ဖိုင်ကို များသောအားဖြင့် ဝှက်ထားသည်။ _chflags၊ command ကို အသုံးပြု၍ ၎င်း၏အချိန်တံဆိပ်ကို ပြောင်းလဲထားသည်။ touch –t ကျပန်းတန်ဖိုးတစ်ခုနှင့်။

ကုဒ်ကြိုးများ

ယခင်ရွေးချယ်မှုများကဲ့သို့ပင်၊ စာကြောင်းများကို AES-256-CBC ( hexadecimal key- ဖြင့် ကုဒ်ဝှက်ထားသည်- 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 သုညဖြင့် padded၊ နှင့် IV သုညဖြင့်ဖြည့်သည်) လုပ်ဆောင်ချက်အားဖြင့် CCCrypt. သော့သည် ယခင်ဗားရှင်းများမှ ပြောင်းလဲသွားသော်လည်း အဖွဲ့သည် တူညီသော စာကြောင်းစာဝှက်စနစ် အယ်လဂိုရီသမ်ကို အသုံးပြုနေဆဲဖြစ်သောကြောင့်၊ ကုဒ်ဝှက်ခြင်းကို အလိုအလျောက်လုပ်ဆောင်နိုင်သည်။ ဤပို့စ်အပြင်၊ ကျွန်ုပ်တို့သည် binary ဖိုင်တွင်ပါရှိသော စာကြောင်းများကို ကုဒ်ဝှက်ရန်အတွက် Hex-Rays API ကိုအသုံးပြုသည့် IDA script ကို ထုတ်လွှတ်ပါသည်။ ဤ script သည် OceanLotus ၏ အနာဂတ် ခွဲခြမ်းစိတ်ဖြာမှုနှင့် ကျွန်ုပ်တို့ မရရှိနိုင်သေးသော လက်ရှိနမူနာများကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ကူညီပေးနိုင်ပါသည်။ ဇာတ်ညွှန်းသည် လုပ်ဆောင်ချက်တစ်ခုသို့ ပေးပို့သော အကြောင်းပြချက်များကို လက်ခံခြင်းအတွက် universal method ကို အခြေခံထားသည်။ ထို့အပြင်၊ ၎င်းသည် parameter assignments များကိုရှာဖွေသည်။ လုပ်ဆောင်ချက် အငြင်းအခုံများစာရင်းကို ရယူရန် နည်းလမ်းကို ပြန်လည်အသုံးပြုနိုင်ပြီး ၎င်းကို ပြန်လည်ခေါ်ဆိုမှုသို့ ပေးပို့နိုင်သည်။

လုပ်ဆောင်ချက် ရှေ့ပြေးပုံစံကို သိရှိခြင်း။ decrypt၊ script သည် ဤလုပ်ဆောင်ချက်အတွက် အပြန်အလှန်ကိုးကားချက်အားလုံးကို ရှာဖွေသည်၊ ထို့နောက် ဒေတာကို ကုဒ်ဝှက်ပြီး အပြန်အလှန်ကိုးကားသည့်လိပ်စာရှိ မှတ်ချက်တစ်ခုအတွင်း ရိုးရိုးစာသားကို နေရာချပေးသည်။ ဇာတ်ညွှန်းကို မှန်ကန်စွာလုပ်ဆောင်နိုင်ရန်၊ ၎င်းကို base64 ကုဒ်ပြောင်းသည့်လုပ်ဆောင်ချက်မှ အသုံးပြုသည့် စိတ်ကြိုက်အက္ခရာအဖြစ် သတ်မှတ်ရမည်ဖြစ်ပြီး သော့၏အရှည်ပါရှိသော ဂလိုဘယ်ပြောင်းနိုင်သောကိန်းရှင်ကို သတ်မှတ်ရပါမည် (ဤကိစ္စတွင် DWORD၊ ပုံ 4 ကိုကြည့်ပါ)။

ပုံ 4။ ကမ္ဘာလုံးဆိုင်ရာ ပြောင်းလဲနိုင်သော key_len ၏အဓိပ္ပါယ်

Function ဝင်းဒိုးတွင်၊ သင်သည် စကားဝှက်ဝှက်ခြင်း လုပ်ဆောင်ချက်ကို ညာဖက်ကလစ်နှိပ်ပြီး “ထုတ်ယူမှုနှင့် ကုဒ်ဖော်ချက်များကို ကုဒ်ဝှက်ခြင်း” ကိုနှိပ်နိုင်သည်။ ပုံ 5 တွင်ပြထားသည့်အတိုင်း script သည် ကုဒ်ဝှက်ထားသောစာကြောင်းများကို မှတ်ချက်များတွင် ထားသင့်သည်။

ပုံ 5။ စာဝှက်ထားသော စာသားကို မှတ်ချက်များတွင် ထည့်သွင်းထားသည်။

ဤနည်းဖြင့် ကုဒ်ဝှက်ထားသော စာကြောင်းများကို IDA ဝင်းဒိုးတွင် အဆင်ပြေစွာ စုစည်းထားသည်။ xrefs ဤလုပ်ဆောင်ချက်အတွက် ပုံ 6 တွင်ပြထားသည့်အတိုင်း။

ပုံ 6. f_decrypt လုပ်ဆောင်ချက်အတွက် Xrefs

နောက်ဆုံး ဇာတ်ညွှန်းကို မှာကြည့်နိုင်ပါတယ်။ Github repository ကို.

ကောက်ချက်

ဖော်ပြထားပြီးဖြစ်သည့်အတိုင်း OceanLotus သည် ၎င်း၏ကိရိယာကိရိယာအစုံအလင်ကို အဆက်မပြတ်တိုးတက်နေပြီး အဆင့်မြှင့်တင်နေပါသည်။ ယခုတစ်ကြိမ်တွင်၊ ဆိုက်ဘာအဖွဲ့သည် Mac အသုံးပြုသူများနှင့် အလုပ်လုပ်ရန် malware ကို ပိုမိုကောင်းမွန်အောင် ပြုလုပ်ထားသည်။ ကုဒ်သည် များစွာမပြောင်းလဲသေးသော်လည်း Mac အသုံးပြုသူအများအပြားသည် လုံခြုံရေးထုတ်ကုန်များကို လျစ်လျူရှုထားသောကြောင့် Malware ရှာဖွေခြင်းမှ ကာကွယ်ခြင်းသည် ဒုတိယအရေးကြီးပါသည်။

ESET ထုတ်ကုန်များသည် သုတေသနပြုချိန်တွင် ဤဖိုင်ကို ရှာဖွေတွေ့ရှိနေပြီဖြစ်သည်။ C&C ဆက်သွယ်ရေးအတွက် အသုံးပြုသည့် ကွန်ရက်စာကြည့်တိုက်ကို ယခု ဒစ်ခ်ပေါ်တွင် ကုဒ်ဝှက်ထားသောကြောင့်၊ တိုက်ခိုက်သူများ အသုံးပြုသည့် ကွန်ရက်ပရိုတိုကော အတိအကျကို မသိရသေးပါ။

အပေးအယူအညွှန်းများ

အပေးအယူလုပ်ခြင်းဆိုင်ရာ အညွှန်းကိန်းများအပြင် MITER ATT&CK ရည်ညွှန်းချက်များကိုလည်း ရရှိနိုင်ပါသည်။ GitHub.

source: www.habr.com